从Android -〉我加密我发送到服务器的文件,稍后我再次收到这些相同的文件,我必须能够解密它们。
从服务器-〉我保存这些加密的文件,以返回他们在必要时,也解密他们。
加密/解密的AES密钥必须被Android和服务器知道。目前我的AES和IV密钥是不安全的,并且是在代码中编写的。
请记住,如果我上传一个加密文件到服务器,我想下载它2个月后,我必须知道它被加密的密码。服务器不加密,只返回它收到的加密文件或解密它们用于其他操作。
我曾经想过在Android中生成AES密钥,然后Android通过RSA安全地将其发送到服务器。这是安全的吗?所以每个用户都有自己的AES密码用于所有文件,并且只会将其与RSA一起发送到服务器一次。
我如何才能做到这一点,以获得更多的安全性?
2条答案
按热度按时间06odsfpq1#
你真的需要加密数据吗?
(https://www.schneier.com/blog/archives/2015/06/why_we_encrypt.html)
正如您的问题所暗示的,如果您确实有*保密性*要求,那么您将继承其他挑战。其中最著名的是密钥分发、密钥轮换和密钥协商。
如果你决定,你需要加密数据,双方都需要密钥,我会看看...
这里还有另一个稍微相关的Android加密问题:双重加密
PS -你可能想把这个贴在:https://security.stackexchange.com/
vwhgwdsa2#
安全性是一步一步的方法,每一步都取决于您的数据的重要性。